[分享] rose.exe 病毒介绍与清除指南

老毛桃

　　引:病毒介绍：自4月10号以来，在网路上流行一个叫“rose.exe”的病毒，它最初的表现为在你的电脑里面，右键单击各个盘符的时候，第一项由原来的“打开”变成了“自动播放”，然后在你的系统进程里面会出现若干个“rose”的进程，占用电脑的CPU资源。

　　传播方式：通过U盘、MP3 、移动硬盘等移动存储设备传播，一般表现为移动存储设备内东西无法剪切、移动存储设备无法移出等，尤其在公用电脑上表现极为明显，目前我已经在校新闻实验中心、校广播台、校外打印店、照相馆等公共电脑场所发现该病毒，且愈演愈烈，另外在很多同学的电脑或者移动存储设备上发现该病毒，传播极为迅速。

　　病毒危害：

　　1、在系统中占用大量cpu资源。

　　2、在每个分区下建立rose.exe 和autorun.inf 2个文件，且它们都隐藏系统保护文件之内，无论你怎样搜索都找不到，但是在双击该盘符时病毒就自动运行了。

　　3、若你继续无视该病毒，可能会引起部分操作系统崩溃，表现在开机自检后直接并反复重启，无法进入系统，简单的说就是你电脑突然死机了，然后就再也开不了机。即便在你重新格式化C盘，重新安装系统之后，你只是清除了C盘的该病毒，但是它在其他盘下仍然存在，且会再次发作。

　　杀毒方式：目前经测试，不论是哪个杀毒软件，不论你将病毒库升级到最新的哪个时候，它们暂时都不具备查杀该病毒的能力，即便是在你所使用的杀毒软件是正版的情况下。个人估计杀毒软件公司的员工此时正在抓紧时间研究如何查杀中。

　　我也是中了此毒，被折腾得够呛，也重装了电脑，花了点时间从网上去学习，才有此切身经验，现在根据以往别人提供的方法，再结合自己的经验，希望对各位电脑中毒的同学有所帮助，也希望能引起其他没中毒的同学的重视。

　　具体方法如下：

　　1、按Ctrl+Alt+Delete调出任务管理器，在进程页面中结束掉所有名称为Rose.exe的进程（建议在后面的操作中反复此操作，以确保病毒文件不会反复发作）。


　　2、在开始－－运行中输入“regedit”（XP系统）打开注册表，点“编辑”——“查找”，在弹出的对话框中输入“rose.exe”，找到后将整个shell子键删除，然后继续按F3查找下一个，继续删除查找到有关的键值，直到显示为“注册表搜索完毕”为止。


　　3、在我的电脑－工具－文件夹选项－查看－显示所有文件和文件夹，把“隐藏受保护的系统文件”的勾去掉。


　　4、对每个盘符点右键－打开进入（切记不能双击），删掉所有的rose.exe和autorun.inf文件。如果删除时候提示不能删除，可将这两个文件的属性由“只读”改为“存档。若还不能删除，则重启电脑，在自检时按F8进入到安全模式下去删除。


　　∷预防办法：

　　1、当别人将U盘插入自己的电脑，当出现操作提示框时，不要选择任何操作，关掉。

　　2、进入我的电脑，从地址下拉列表中选择U盘并进入，或者右键单击可移动磁盘，在弹出的菜单中选择“打开”进入。千万不要直接点击U盘的盘符进去，否则会立刻激活病毒！

　　3、在我的电脑－工具－文件夹选项－查看－显示所有文件和文件夹，把“隐藏受保护的系统文件”的勾去掉，你会看到U盘中出现了“rose.exe”和“autorun.inf”两个文件，直接删除！

　　4、在开始－－运行中输入“regedit”（XP系统）打开注册表，点“编辑”——“查找”，在弹出的对话框中输入“rose.exe”，找到后将整个shell子键删除，然后继续按F3查找下一个，继续删除查找到有关的键值，直到显示为“注册表搜索完毕”为止。

[ 本帖最后由 老毛桃 于 2006-7-3 11:53 PM 编辑 ]

darkz

我这里有搜集的rose专杀

goodboyhu

前几天我中了ROSE毒病的变种.在根目录下有SXS.EXE和autorun.inf.瑞星都不能启动.在安全模式下都不能删这二个文件.估计和系统服务一起启动吧?后来在DOS下删了这二个文件,不过系统也不能启动了.晕死了~~~~~~只得重装.唉~~

TCLSHX

这个病毒这几天我遇到不少,都是本单位的机子,主要是U盘传播的,
它的最终目的是删除NTDETECT.COM文件,瑞星可杀它,卡巴不行.只要一个盘有,机子启动时就会在所有的盘上复制.打开根目录,取消隐藏就可看到,注意,还有一个专门启动它的Autorun.inf文件也要删除.
用XPE启动进入就可删除的.


开始中毒时,电脑会自动关闭,始终无法启动,用XPE进入可看到系统区没有NTDETECT.COM,删除所有盘的ROSE.EXE和AUTORUN.INF后,将NTDETECT.COM拷入启动区就可顺利运行了.

[ 本帖最后由 TCLSHX 于 2006-7-30 03:20 PM 编辑 ]

Robertzao

前2天我才手动搞掉它！！嘿嘿！1

老毛桃

原帖由 strongchen 于 2006-7-19 23:31 发表
微软也很bt。。。exe竟然要关联

呵呵，EXE 文件当然要关联的，单纯的可执行文件脱离了命令解释环境，就是一堆没用的 0 和 1。

strongchen

昨天碰了个改exe关联的，今天就有人问这个问题了。。。现在的病毒真bt

微软也很bt。。。exe竟然要关联

vipnai

好文章,长知识,收藏了,谢谢

andaone

这个病毒很讨人嫌，我得u盘又没有写保护，插一次，感染一次，烦死了，学校的机器也没有人杀毒，杀了后，别人得u盘一插又感染了，呵呵

52lemontree

其实我们只要在系统启动之前按F8，选择进入安全模式（不带网络连接的那个），选择后屏幕上一直都是一个光标一直在那闪，大概要等2到3分钟才可以进系统，在进系之后以资源管理器方式打开我的电脑，依次点击左边的盘符（切忌不要直接双击盘符），删除rose.exe与autorun.inf以及其他可疑文件，接着找个注册表清理软件（windows优化大师）清理一下注册表就可以了！

fljiangdh

不错，是得学习。

83258521

哎呀。。上个星期我也中了。。但是没解决。。重装了系统。。又长知识了